Шифруйся грамотно! Обзор мессенджеров в плане анонимности и безопасности. Ч.3.

Шалом, бегущие в тенях! Привет, случайный подписчик. Сегодня мы заканчиваем наш обзор различных мессенджеров. Начало статьи читай выше. Надеюсь, вы сможете сделать выводы.

Поехали:

ТамТам

Лицензия: проприетарная

Степень централизации: централизованный

Возможность анонимной регистрации и работы: возможна регистрация с использованием почты Google или через «Одноклассники»

Наличие E2EE: нет

Защита социального графа: нет

При создании «ТамТама» никто не делал упор на безопасность, и об этом нужно помнить. Внимание к нему может привлечь разве что возможность регистрации через почту Google или «Одноклассники». Однако шифрование сообщений не поддерживается (или разработчики об этом не сообщают), и нет защиты социального графа. То есть, как бы ты ни регистрировался, без дополнительных мер все равно будет понятно, кто ты. В общем, даже как замена для «Телеграма» этот мессенджер не годится, несмотря на все чаяния его разработчиков.

Вконтакте (Mail.ru Group)

Лицензия: проприетарная

Степень централизации: централизованный

Возможность анонимной регистрации и работы: только по номеру телефона

Наличие E2EE: нет

Защита социального графа: нет

Снова проходим мимо: вряд ли кому-то в здравом уме придет в голову мысль использовать «Вконтакте» как средство для анонимного общения. Сообщения хранятся на серверах соцсети, не шифруются, регистрация только по номеру телефона — в общем, полный набор того, чего мы тут пытаемся избежать.

Важно!!! Контактик, Зашквароклассники, Там Там - всё это полная лажа от Мэйл.ру! За это сажают. За мемчики 3-х летней давности дают до 5-ти лет общего режима. Если ты, читающий это, зареган в Вкшечки, то мне жаль тебя, чувак. Отписывайся от мэйл.ру всеми способами. От почты тоже. А если тебе лень и ты не хочешь, то лучше отпишись от моего канала - одним аленем станет меньше среди подписчиков.

 Facebook Messenger

Лицензия: проприетарная

Степень централизации: централизованный

Возможность анонимной регистрации и работы: есть. Регистрация в «Фейсбуке» возможна с использованием электронной почты, а вход в Messenger — через учетную запись Facebook

Наличие E2EE: есть, но не по умолчанию

Синхронизация E2EE-чатов: нет

Уведомление о проверке отпечатков E2EE: нет. Но собеседники могут сравнить отпечатки друг друга

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: нет

Защита социального графа: нет

Мессенджер, прилагающийся к Facebook, построен на основе открытого протокола MQTT. На всякий случай напомним, что это именно протокол обмена сообщениями — не путать с протоколом шифрования. После того как на мобильных телефонах Messenger выселили в отдельное приложение, у пользователей Facebook оставалось мало выбора, кроме как установить еще и его. Однако регистрироваться в «Мессенджере» можно и без аккаунта в FB.

Если сравнивать чаты «Вконтакте» и Facebook Messenger, то второй оказывается на голову выше. Во-первых, можно регистрироваться с анонимной почтой. Во-вторых, поддерживаются E2EE-чаты, но не по умолчанию. Для включения шифрования сообщений нужно активировать Secret Conversations.

Однако помни, что Facebook собирает очень много всевозможной информации о пользователе, поэтому вряд ли подойдет для анонимного общения. Также не поддерживается синхронизация E2EE-чатов и многие другие полезные вещи (см. выше). Если тебе интересно, какую информацию собирает Facebook, прочитай политику конфиденциальности (если у тебя нет аккаунта, то можно в форме скриншота).

Wire

Лицензия: GPLv3

Степень централизации: централизованный

Возможность анонимной регистрации и работы: есть. С помощью почты

Наличие E2EE: есть, по умолчанию

Синхронизация E2EE-чатов: есть

Уведомление о проверке отпечатков E2EE: нет, но возможность есть

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: есть

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть. Если один из пользователей отправляет в секретный групповой чат сообщение с устройства, которое не верифицировано у другого пользователя, то, когда второй попытается отправить сообщение, перед ним появится предупреждение о том, что у первого новое устройство

Защита социального графа: есть

Wire — один из наиболее анонимных мессенджеров. В его основе — протокол Wire Swiss, основанный на Signal. Чем он хорош? Во-первых, есть возможность анонимной регистрации. Во-вторых, по умолчанию поддерживается сквозное шифрование с возможностью синхронизации зашифрованных чатов. В-третьих, есть защита социального графа, поддерживаются групповые зашифрованные чаты (до 128 человек) и безопасные конференц-звонки (до десяти человек). Что-то подобное мы видели в Briar, но у Wire еще и огромный выбор поддерживаемых платформ: Android, iOS, Windows, macOS, Linux.

Должна быть ложка дегтя? Будем считать, что она есть: в отличие от Briar, Wire — не децентрализованный, и за ним стоит небольшой швейцарский стартап (а стартапы, как известно сегодня есть, а завтра — нет). Разработчики предполагают зарабатывать на продажах корпоративной версии и конкурировать со Slack. Стоит такая подписка 6 евро в месяц или 4 при оплате за год. Остается надеяться, что эта модель действительно позволит компании поддерживать бесплатный, качественный и анонимный мессенджер.

 Jabber (OMEMO)

Лицензия: разные свободные лицензии

Степень централизации: федеративный

Возможность анонимной регистрации и работы: есть. Регистрация с использованием почтового ящика, учетной записи в Facebook или Twitter

Наличие E2EE: есть. Необходимо дополнение OMEMO

Синхронизация E2EE-чатов: есть

Уведомление о проверке отпечатков E2EE: уведомления нет, но возможность есть

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: есть

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет

Защита социального графа: нет

Если старина Jabber и выбивается из компании современных мессенджеров с веселыми стикерами и голосовыми звонками, то в плане приватности он по-прежнему во многом незаменим. Он федеративный, поддерживает анонимную регистрацию, E2EE-шифрование (нужно расширение OMEMO), в том числе групповое. Да, возможности не поражают воображение, но Jabber проверен временем и к тому же имеет реализации на всех возможных платформах. ChatSecure для iOS, Conversations — для Android, Pidgin — для Linux и так далее, список огромен.

Riot (Matrix)

Лицензия: Apache

Степень централизации: федеративный

Возможность анонимной регистрации и работы: есть

Наличие E2EE: есть, по выбору пользователя

Синхронизация E2EE-чатов: есть

Уведомление о проверке отпечатков E2EE: есть

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: есть

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть

Защита социального графа: есть

Чего создателям этого мессенджера не занимать, так это умения придумывать крутые названия. Собственно, Matrix — это протокол коммуникации, а Riot — клиентское приложение (бывают и другие — в том числе для консоли). Использовать можно как вебовый вариант, так и программы для iOS и Android.

В целом это еще один малоизвестный федеративный мессенджер с поддержкой и синхронизацией чатов E2EE, в том числе групповых. Регистрация анонимная, без привязки к номеру мобильного телефона или почте. Поддерживается голосовая связь и видеозвонки.

Шифрование переписки в Riot можно включить или выключить — индикатором этого служит значок замочка рядом с полем отправки сообщения. Также если в секретном групповом чате появится пользователь, чьи устройства не верифицированы другими пользователями, собеседники увидят сообщение об этом при попытке отправить сообщение.

В целом Matrix выглядит как интересный вариант, смутить может только его новизна в сочетании с тем, что протокол свой.

 Status

Лицензия: MPLv2

Степень централизации: децентрализованный

Возможность анонимной регистрации и работы: есть

Наличие E2EE: по умолчанию

Синхронизация E2EE-чатов: частичная (см. описание)

Уведомление о проверке отпечатков E2EE: есть. Чтобы начать диалог с пользователем, необходимо ввести его идентификатор или сосканировать с экрана смартфона

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: нет

Защита социального графа: есть

Status — это нечто большее, чем просто мессенджер. Конечно, его можно использовать только для общения, но это все равно что ставить Windows ради «Блокнота». Да и общаться здесь не очень-то удобно, даже картинку не отправишь, не говоря уж про такую роскошь, как стикер. Зато прямо в чате есть возможность отправить ETH и создать запрос на его получение.

Приложение пока находится на стадии бета-теста. Да, без глюков пока никак. Мы установили Status на два телефона (оба с Android). На одном из телефонов приложение работало нормально, на втором постоянно слетала авторизация и приходилось вводить пароль при каждом обращении к мессенджеру (считай, после каждой блокировки экрана) — не очень-то удобно.

Иногда не знаешь, баг перед тобой или никак не объясненная фича. Когда мы создали аккаунты на обоих телефонах (для этого ничего не нужно — просто вводи имя) и сосканировала QR-код на экране одного телефона другим, на втором отобразилось совершенно другое имя, которое мы видели впервые, — Puny Moral Gonolek. Только после добавления пользователя в контакты имя стало нормальным. При этом имя первого собеседника всю дорогу отображается нормально.

Поскольку есть возможность анонимной регистрации и все чаты шифруются по умолчанию, можно считать, что каждый чат в Status — секретный. Есть и синхронизация секретных чатов, но синхронизироваться будут только входящие сообщения, а вот отправленные с одной учетной записи, но с разных устройств — нет.

Еще один возможный недостаток: сообщения хранятся и на телефоне, и на сервере мессенджера, но разработчики уверяют, что в зашифрованном виде. Зато твоя книга контактов не сливается на серверы мессенджера, что нынче дорогого стоит. В общем, безопасность здесь есть, а возможность перевода криптовалюты, вероятно, кого-то порадует. Но Status пока что скорее интересная диковинка, чем рабочий инструмент.

 Threema

Лицензия: проприетарная у приложений, AGPLv3 у веб-клиента

Степень централизации: централизованный

Возможность анонимной регистрации и работы: есть. Можно создать учетную запись без привязки к номеру телефона или почте. Пользователю присваивается уникальный ID, который можно сменить

Наличие E2EE: есть, по умолчанию

Синхронизация E2EE-чатов: частичная (см. описание)

Уведомление о проверке отпечатков E2EE: есть. Сообщения в групповых чатах отправляются каждому собеседнику индивидуально, а диалог можно начать только с тем, чей идентификатор подтвержден

Запрет на скриншоты секретных чатов: нет

Групповые чаты E2EE: есть

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть

Защита социального графа: есть. Адресная книга по умолчанию не загружается на сервер, но при желании пользователь может разрешить доступ к ней

Threema — проприетарный централизованный мессенджер, серверы которого находятся в Швейцарии. Кроме текстового общения, пользователям доступны голосовые звонки, возможность отправлять свое местоположение, голосовые сообщения и файлы. Поддерживаются групповые чаты до 50 человек.

Сообщения здесь шифруются полностью и децентрализованным способом на устройствах пользователя, а не на сервере Threema. Сервер скорее играет роль коммутатора: сообщения пересылаются через него, но не хранятся постоянно. Подробно о том, какие данные хранятся и как долго, ты можешь прочитать в FAQ.

Для регистрации не нужно указывать данные, которые могут способствовать установлению личности, — ни номер телефона, ни email. При первом запуске программы случайным образом генерируется идентификатор пользователя, на его основе будет сгенерирован QR-код. Все это обеспечивает анонимность общения.

Чтобы начать диалог с собеседником, необходимо ввести его идентификатор. В Threema есть три уровня доверия личности пользователя. Наивысший будет при сканировании идентификатора с экрана смартфона, а самый низкий — при вводе его вручную. Где-то посередине находится синхронизация контактов. Уровень проверки каждого контакта отображается в виде точек рядом с именем.

Threema, в отличие от WhatsApp или, например, Facebook Messenger не регистрирует, кто и с кем общается, и не хранит адресную книгу пользователя на своих серверах. Все сообщения на устройствах пользователя хранятся в зашифрованном виде. Способ шифрования зависит от устройства. В iOS используется функция iOS Data Protection, в Android и Windows Phone — AES-256. Шифруются сообщения, изображения и другие данные, передаваемые между пользователями. Дополнительная информация доступна в whitepaper (PDF).

Хоть каждый чат шифруется и может считаться секретным, помимо этого, есть и приватные чаты. Они защищены PIN-кодом и помечены значком со шляпой и очками. Нечто подобное мы уже встретили в Viber.

В общем, Threema оставляет неплохое впечатление. Сообщения не могут быть расшифрованы — даже по решению суда, так как хранятся только на телефоне и Threema не имеет доступа к секретным ключам пользователей. Серверы Threema знают только, кто отправляет сообщение и кому, но они не логируют эту информацию и не могут расшифровать содержимое сообщения.

Переходим к минусам. Во-первых, это необходимость заплатить. 2,6 евро разово — не бог весть что, но сам факт оплаты может быть нежелательным. Во-вторых, тут довольно непростая ситуация с синхронизацией чатов: сообщения можно синхронизировать между вебовой версией и телефонной, а вот зайти в одну учетку с двух телефонов уже не получится. Для каждого устройства генерируется уникальный ID, так что перенести логи на другой девайс можно только через бэкап.

Итоги

Рекомендовать какой-либо мессенджер мы не будем. Мы предоставили тебе все данные, и выбор остается за тобой, тем более что выбирать есть из чего. Ниже — табличка, которая поможет тебе в этом.